Censys betont, dass diese Zahl keine Gewissheit über den tatsächlichen Datenverkehr liefert: „Das ist keine Garantie dafür, dass alle 2,45 Millionen Dateien und Zugangsdaten im Klartext übertragen, aber es ist die Gruppe, bei der kein Hinweis auf Verschlüsselung beobachtet wurde."
Geografisch konzentrieren sich die FTP-Hosts vor allem in den USA mit 1,2 Millionen Systemen. Es folgen China mit 866.000, Deutschland mit 467.000, Hongkong mit 415.000, Japan mit 366.000 und Frankreich mit 343.000. Auf der Ebene der Netzbetreiber entfallen die meisten Hosts auf große Hosting- und Breitbandanbieter, darunter China Unicoms CHINA169 (405.000), Alibaba (227.000), OVH (177.000), Hetzner (138.000), KDDI Web Communications (127.000) und GoDaddy (126.000).
Bei der eingesetzten Software ist Pure-FTPd mit rund 1,99 Millionen Diensten am weitesten verbreitet, gefolgt von ProFTPD mit 812.000 und vsftpd – dem Standard-FTP-Daemon der meisten Linux-Distributionen – mit 379.000 Diensten. Microsofts älteres Web- und FTP-Serverpaket IIS (Internet Information Services) kommt auf 259.000 Dienste. Alle Windows-Server-Instanzen mit aktivierter FTP-Rolle nutzen standardmäßig IIS FTP, und bei mehr als 150.000 dieser Dienste wurde laut Censys nie eine Verschlüsselung eingerichtet.
Von den 2,45 Millionen FTP-Hosts ohne Verschlüsselung setzen 994.000 Dienste auf dem gescannten Port kein AUTH TLS um, 813.000 fragen ein Passwort ab, bevor ein verschlüsselter Kanal aufgebaut wird, und mehr als 170.000 bieten keine ausdrückliche TLS-Unterstützung.
Aus der Verteilung nach Geografie, Netzbetreibern und Servertechnik zieht Censys den Schluss, dass die meisten dieser nach außen erreichbaren FTP-Konfigurationen ein Nebenprodukt von Standard-Hosting und Breitband-Voreinstellungen sind.
Organisationen empfiehlt Censys, FTP entweder vollständig aus ihren Umgebungen zu entfernen oder auf sicherere Alternativen wie SFTP (SSH File Transfer Protocol) und FTPS umzustellen, die verschlüsselte Dateiübertragung bieten und mit vielen Clients kompatibel sind. „In den meisten Anwendungsfällen lässt sich FTP ohne nennenswerte Störungen ersetzen. Wenn FTP bleiben muss, ist die Aktivierung von explizitem TLS eine Konfigurationsänderung, kein Protokoll-Upgrade – und sowohl Pure-FTPd als auch vsftpd unterstützen es nativ", so Censys.
